En integritetsbrist i Office 365 avslöjar domännamnet för den första BCC-mottagaren till andra BCC-mottagare när ett e-postmeddelande skickas utan en "Till"-adress. Detta beteende strider mot RFC5322, som definierar BCC som ett sätt att dölja mottagare från varandra. Microsoft har trots upprepade rapporter inte erkänt problemet, utan hävdar att det är "normalt beteende" och har inte kunnat reproducera det via MSRC. En tillfällig lösning för administratörer är att lägga till en regel i Exchange Admin Center för att ta bort "authentication-results"-headern från utgående e-postmeddelanden.